隐私政策

illustration

「黑帕云」是由「成都黑帕云信息技术有限公司」(在本政策中简称“我们”)自主研发和运营的数据协作产品。

我们承诺保护您的企业和员工的隐私。我们可能会不时修改隐私政策,这些修改会反映在本政策中。任何修改都会将您的满意度置于首位。我们鼓励您在每次访问网页时都查阅我们的隐私政策。

您在同意黑帕云使用条款之时,即视为您已经同意本隐私权政策全部内容。本隐私权政策属于黑帕云使用条款不可分割的一部分。

1. 我们如何收集并使用您的信息

1.1 账号的注册及使用

在您注册账号时,我们将记录您的注册所使用的信息,如账号、密码,以便于您在下次登录时能正常登入。

此外,根据法律法规,您还需要提供有效的中国大陆手机号来进行实名制核验,如您拒绝提供,我们将不能完成您的注册请求。

由于我们提供团队协作的服务,因此您需要提供您的姓名信息。您可根据自己的需求上传头像。

我们允许您通过第三方(微信、Apple)快速完成注册,注册后,会在您的同意通过后获取第三方的信息作为资料(头像、昵称)。

作为团队创建者,我们还要求在创建团队时,填写团队的名称以便于协作者加入时识别自己的团队。

1.2 基本业务使用

为满足黑帕云为您提供基本的业务服务,我们需要向您收集以下信息,如您拒绝收集,将无法使用该服务。

1.2.1 创建应用

您可在黑帕云创建应用,填写应用名称。

在应用中可以创建多个业务表,填写业务表名,可创建多个角色,填写角色名称及对应设置。在业务表中,可以创建多个字段、多个视图。

我们会存储您创建的应用中的所有的设置以及操作记录信息。

1.2.2 创建及编辑数据

您在应用中可以创建数据、编辑数据、删除数据、收藏数据、订阅数据。

由于数据中可上传附件,因此我们需要您同意图片上传权限。

在此过程中会储存您同意我们采集的所有数据内容。

1.2.3 发布数据评论

您可以对应用中的数据进行评论,我们会储存您的评论内容。

1.2.4 邀请成员加入团队及应用

您可以邀请团队内、团队外的成员加入应用。我们将存储您应用中的成员信息。

1.3 支付功能

当您在升级套餐时发生了付费行为,我们会收集您的支付账号信息(微信支付、支付宝支付)。如果您开通了指纹或人脸识别支付,我们还需要收集您的生物识别信息用于付款验证。

1.4 客户服务

为了更好为您排查使用中的问题,我们会收集以下信息来帮助工程师定位问题。

1.4.1 设备信息

我们会根据您在具体使用黑帕云时的操作,收集您所使用的设备相关信息:包括设备型号、操作系统版本、设备设置、 MAC 地址及 IMEI 、 IDFA 、 OAID 等设备标识符、设备环境、移动应用列表等软硬件特征信息 以及设备所在位置相关信息(包括您 WLAN 接入点、蓝牙和基站等传感器信息)。

1.4.2 服务日志

我们会收集您在使用黑帕云服务时的操作日志进行保存,包括:浏览记录、点击事件、浏览器类型、电信运营商、IP 地址、访问时长、访问日期及时间。

1.5 帮助及活动资讯

为了帮助您更好使用黑帕云服务,我们将使用您注册提供的邮箱来发送我们的帮助、活动等资讯。您可选择在邮箱中进行退订。

1.6 授权同意之外

根据法律法规的规定,在以下情形中,我们可未经您授权的情况下收集并使用以下信息:

  1. 与国家安全、国防安全直接相关的;
  2.  与公共安全、公共卫生、重大公共利益直接相关的;
  3. 与犯罪侦查、起诉、审判和判决执行等直接相关的;
  4. 所收集的个人信息是您自行向社会公众公开的;
  5. 从合法公开披露的信息中收集到您的个人信息,如从合法的新闻报道、政府信息公开等渠道;
  6. 根据您的要求签订和履行合同所必需的;
  7. 用于维护黑帕云的产品和/或服务的安全稳定运行所必需的;
  8. 法律法规规定的其他情形。

2. 我们如何储存收集到的信息并保证其安全性

黑帕云为保障用户的数据安全不遗余力。我们始终以软件行业最高安全标准保护用户数据,所使用的安全模型和策略全部基于国际标准和行业最佳实践。

我们将严格保护您的信息的安全。使用各种安全技术和程序来保护您的信息不被未经授权的访问、使用或泄漏。如果您对隐私保护有任何置疑,请发送邮件至 support@hipacloud.com。

2.1 技术措施

2.1.1 数据位置

黑帕云的数据全部托管在亚马逊中国(AWS)宁夏区域和阿里云杭州区域的多个数据中心的可用区中,采用多副本冗余存储。他们是中国最顶尖的云服务提供商,数据托管在他们的基础设施上,避免了硬盘被盗或失效、甚至整个区域故障导致的数据丢失风险。

2.1.2 数据灾备与恢复

黑帕云每天都会对数据进行备份。备份数据也存储在多个数据中心的可用区中,并使用 AES-256 算法进行加密。 所有备份都会定期追踪其完整性并进行验证检查,以确保故障发生时,我们可以迅速启动恢复流程并立即修复数据。

2.1.3 服务器安全

网络安全

黑帕云采用 AWS 和阿里云提供的、具有多层保护和防御机制的网络安全技术,通过防火墙阻挡未经授权的访问,同时还采用多个交换机和安全网关来确保网络冗余,防止内部网络的单点故障。

DDoS 防御

黑帕云使用 AWS 和阿里云的 WAF(Web 应用防护系统)技术来防止对服务器的 DDoS 攻击,只允许正常的流量通过,防止恶意流量攻击造成的业务中断,使网站和 API 保持高可用性和高性能。

服务器强化

黑帕云所有服务器的未使用的端口和帐户都被禁用,我们定期对云服务器进行安全扫描和补丁升级。

服务灾难恢复和业务连续性

黑帕云的服务均采用多副本冗余机制,分布在多个不同区域内,在单个区域发生故障的情况下,其他区域会接管并平稳地进行切换操作。除此之外,我们还制定了业务连续性计划并对基础架构进行持续监控,确保黑帕云的各项服务能够正常运行。

管理权限

黑帕云采用访问控制技术严格管理服务器的访问权限。基于最小特权和基于角色的权限控制原则,最大程度地减少数据泄露的风险。登录服务器被要求使用受密码保护的 SSH 密钥和双因素身份验证,并记录所有的服务器操作,日常审核。

2.1.4 软件服务安全

代码安全

黑帕云的所有代码在部署到服务器之前均经过严格的安全检验,包括威胁建模、自动化测试、自动扫描和代码审核。同时我们的开发人员会进行安全培训,以保证他们掌握最新、最佳的安全开发实践,防止隐患产生。

通信加密

当用户执行访问网站或上传附件等操作时,数据会在他的设备和我们的数据中心之间加密传输。我们设置了多重安全防护来保护用户数据的传输:要求所有与服务器的连接均使用 TLS 1.2 / TLS 1.3 和现代密码算法对流量进行加密;启用了 HTTPS 安全协议,要求浏览器仅能通过加密连接与我们建立连接。

数据鉴权和隔离

为了确保数据的合法访问,黑帕云使用国际标准的鉴权体系,提供身份管理、认证管理和角色授权三位一体的用户业务鉴权服务。通过用户身份标识、用户授权检查、业务身份标识形成端对端的鉴权体系,防止非授权的数据访问发生。以鉴权的安全性为基础,黑帕云依照 SaaS 服务多租户的最佳实践,设计实现了用户团队之间数据的隔离性。

2.2 安全认证

2.2.1 网络安全等级保护 2.0

依据网络安全等级保护 2.0的标准及相关条例规定,黑帕云对整个系统进行安全加固,正在申请认证机关的审核,将于2021年内完成此项认证。

中国网络安全等级保护 2.0(简称等保2.0)于2019年12月1日起正式实施。等保 2.0 更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、移动互联、物联网、大数据和工业控制系统等级保护对象的全覆盖。

2.2.2 ISO/IEC 27001:2013 信息安全管理体系

黑帕云按照ISO 27001的各项标准建立了信息安全管理体系且通过了认证机关的审核,已于2021年4月取得了证书。

通过 ISO 27001 认证,能体现企业对安全的承诺,表明企业信息安全管理已建立起一套科学有效的管理体系,能够为用户提供可靠的信息服务。目前国内外许多政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司均采用了此项 ISO 标准对自己的信息安全进行系统的管理。

3. 我们如何使用Cookies

通过使用 Cookies,本服务可以为您提供更为方便和快捷的登录服务和用户体验。Cookies 是由网页服务器存放在您的硬盘中的文本文件。Cookies 不能用来运行程序或将病毒递送到您的计算机中。指定给您的 Cookies 是唯一的,它只能由 Cookies 发布给您的域中的 Web 服务器读取。 绝大多数浏览器会默认使用 Cookies,如果您的浏览器设置为拒绝 Cookies,在使用时将无法完全体验到本服务所拥有的互动体验。

4. 我们如何共享、转让、披露收集到的信息

4.1 共享您的个人信息

我们在获得您的明确同意后,会在以下地方共享您的个人信息。这些信息的用途这些限制:提供基础的业务服务、协助我们向您提供服务。

  1. 我们在法律的要求或允许下,根据申请方的要求对外共享您的个人信息。
  2. 与服务中的其他协作成员共享您的个人信息:您在使用黑帕云服务时,或与其他黑帕云成员的数据协作时,这些成员将在团队或应用角色的授权下访问并使用您创建的应用设置信息、数据信息;与其他成员互动时,其他成员可以访问您的黑帕云账号信息。
  3. 与授权的第三方合作伙伴共享:我们与我们授权过的第三方共享您的个人信息,但仅会出于本隐私权政策声明的合法、正当、必要、特定、明确的目的共享您的信息,比如您使用的设备信息、操作的时间、访问页面时长等来收集您功能的使用情况,以此帮助我们改进功能的设计。并且我们会通过协议要求第三方不得将此信息用于其他任何目的。

4.2 转让及披露您的个人信息

除非获取您明确的同意,否则我们不会公开转让、披露您的个人信息。

但在以下情形中,我们可以在不征求您的授权同意下,共享、转让、披露您的个人信息:

  1. 与国家安全相关;
  2. 与犯罪侦查、起诉、审批和判决执行等有关;
  3. 行政、司法机关依法提出的要求;
  4. 为了维护您所属黑帕云团队的财产安全或出于其他企业主提出的合法权益合理且必要的用途
  5. 您主动公开的个人信息;
  6. 从合法渠道收集到的个人信息;
  7. 法律法规的其他情形。

如您主动公开、共享个人信息,不受本协议限制。

5. 有害信息处理

根据法律法规,我们禁止用户写入并存储一切有害信息,包括:

  1. 违反宪法的基本原则的内容;
  2. 危害国家安全,泄露国家秘密的内容;
  3. 一切反动、破坏国家统一的言论;
  4. 破坏国家关系、民族和谐统一的内容;
  5. 封建迷信的内容;
  6. 散布谣言或不实消息扰乱社会秩序、破坏社会稳定的内容;
  7. 侵犯他人名誉、隐私等合法权益的内容;
  8. 散布淫秽、色情、赌博、暴力恐怖犯罪信息的内容;
  9. 违反国家法律、行政法规禁止的其他内容;

我们将对以上信息进行屏蔽处理。如果后续的举报中发现,我们有权对违反政策的内容进行删除,并对违反政策的用户进行封号处理,同时保留依法追究当事人的法律责任的权利。

6. 您的权利

我们根据法律法规支持并保护您个人的隐私,您对自己的个人信息拥有访问、修改、删除以及撤回的权利。

  1. 管理账号信息:您可在【设置-我的账户】中修改您的姓名、头像、密码。
  2.  管理数据信息:如果您在应用中有操作权限,您可在数据详情中,点击【···】-【删除数据】对数据进行删除,删除后仍可撤回。
  3. 设备权限调用:我们在提供服务的过程中,需要您开启一些设备权限,如通知、相册、相机等访问权限。您也可以在设备的【设置】中随时对其进行关闭,以拒绝我们收集您对应的个人信息。不同设备中,权限显示和关闭的方式有所不同,请具体参考设备的说明。
  4. 您拥有账号注销的权利:请在电脑网页端(https://hipacloud.com)登录您的账号,登录后在【设置-我的账户】中点击【注销】,根据页面具体提示来注销您的账号。注销账号之后,我们将停止为您提供服务。

在以下情形中,您可以通过与客服沟通向我们提出删除个人信息的请求,我们会对应做出删除响应:

  1. 我们收集并使用了您的信息但未经过您的允许或同意;
  2. 在您同意我们收集并使用的情况下,我们使用您的个人信息时严重违反了与您的约定;
  3. 我们使用您的信息时,违反了法律法规。

在以下情形中,我们不能响应您删除的请求:

  1. 国家安全相关;
  2. 有证据表明您存在侵权行为;
  3. 与犯罪侦查、起诉、审批和判决执行相关;
  4. 行政、司法机关依法提出的要求;
  5. 响应您的请求将损害他人或企业的合法权益;

7. 其他隐私策略

由于黑帕云的服务对象为企业和个人,如果您通过企业团队使用黑帕云服务,企业负责人或管理员将拥有您团队的最高权限并对团队信息负责。若企业负责人或管理员的隐私或安全做法与本协议有所出入,我们将不会对企业负责人或管理员的做法承担连带责任。所以如果您以企业员工身份使用黑帕云,您对服务的使用受制于企业团队的政策,请将您信息隐私需求提交至企业负责人或管理员。

这意味着您在团队中所存储的信息将作为团队的资产进行保存,企业负责人或管理员也有权对您的信息有以下的限制:

  1. 能够限制、终止您在团队中的访问权限;
  2. 能够对某些黑帕云应用的访问进行限制:主要是控制您对数据的访问及操作权限;
  3. 开启或使用第三方应用;
  4. 转移您的黑帕云应用所有权限给其他成员;
  5.  解除您和第三方(如企业微信、钉钉、飞书等)的绑定关系;

如果您不希望企业负责人或管理员能够控制您的账户及访问限制,您可以退出当前所在的黑帕云团队。一旦企业负责人或管理员声明您的账户或服务具有控制权,您无法更改您账号所关联的第三方或邮箱地址。

如果您对企业负责人或管理员所执行的隐私条款和安全做法存在疑问,请联系您所在企业的负责人或管理员。

8. 面对儿童的隐私策略

我们不针对 14 岁以下儿童提供服务,也不会故意收集 14 岁以下儿童个人信息。如您发现有儿童主动向我们提供了个人信息,请通过邮件 support@hipacloud.com 向我们告知,我们会根据情况删除这类信息。

9. 免责说明

就下列相关事宜的发生,我们不承担任何法律责任:

  1. 根据法律规定或相关政府的要求提供您的企业或个人信息。
  2. 由于您将用户密码告知他人或与他人共享账户,由此导致的任何企业或个人信息的泄漏,或其他非因服务原因导致的个人信息的泄漏。
  3. 在各服务条款及声明中列明的使用方式或免责情形。
  4. 因不可抗力导致的任何后果。

10. 联系我们

有关本声明或相关的隐私措施的问题,请发送邮件至 support@hipacloud.com。

11. 附录

附录一:第三方SDK共享信息

以下是我们在移动端目前使用的 SDK 名称及其收集信息的相关内容。

如您对第三方通过 SDK收集的个人信息有所疑问,请查阅第三方各自具体的隐私政策。

IOS

SDK产品名称场景描述个人信息类型用途或目的第三方隐私政策链接
极光推送Jpush SDK通过识别设备信息为App赋予推送能力,用于消息推送;地理位置和网络信息用于创建智能标签,实现区域、分群推送功能个人常用设备信息; 位置信息; 网络信息;分析行为https://posthog.com/privacy
Post hog采集您的行为信息,用于分析并改善我们的服务定位信息;设备信息(设备型号、操作系统版本、设备设置、唯一设备标识符等软硬件特征信息);浏览器及操作系统基本信息(IP, 用户行为数据(包括浏览、点击)、操作路径;分析行为https://posthog.com/privacy
sentry采集您在操作时遇到的错误异常,用于分析并改进我们的服务浏览器及操作系统基本信息(IP, 用户行为数据(包括浏览、点击)、操作路径;分析错误https://sentry.io/privacy/
AliyunOSS用于您上传附件设备信息(设备型号、操作系统版本、设备设置、唯一设备标识符等软硬件特征信息);地理位置信息(例如IP地址、GPS位置以及能够提供相关信息的Wi-Fi接入点、蓝牙和基站等传感器信息);服务日志信息(服务的详细使用情况,并作为有关网络日志保存)上传附件https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201710161525_98396.html?spm=5176.7933691.7y9jhqsfz.84.2e392a661HNpID&aly_as=e2utEXib

Android

SDK产品名称场景描述个人信息类型用途或目的第三方隐私政策链接
极光推送Jpush SDK通过识别设备信息为App赋予推送能力,用于消息推送;地理位置和网络信息用于创建智能标签,实现区域、分群推送功能个人常用设备信息; 位置信息; 网络信息;分析行为https://posthog.com/privacy
Post hog采集您的行为信息,用于分析并改善我们的服务定位信息;设备信息(设备型号、操作系统版本、设备设置、唯一设备标识符等软硬件特征信息);浏览器及操作系统基本信息(IP, 用户行为数据(包括浏览、点击)、操作路径;分析行为https://posthog.com/privacy
sentry采集您在操作时遇到的错误异常,用于分析并改进我们的服务浏览器及操作系统基本信息(IP, 用户行为数据(包括浏览、点击)、操作路径;分析错误https://sentry.io/privacy/
AliyunOSS用于您上传附件设备信息(设备型号、操作系统版本、设备设置、唯一设备标识符等软硬件特征信息);地理位置信息(例如IP地址、GPS位置以及能够提供相关信息的Wi-Fi接入点、蓝牙和基站等传感器信息);服务日志信息(服务的详细使用情况,并作为有关网络日志保存)上传附件https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201710161525_98396.html?spm=5176.7933691.7y9jhqsfz.84.2e392a661HNpID&aly_as=e2utEXib

附录二:相关法规

  • 《中华人民共和国网络安全法》
  • 《互联网信息服务管理办法》
  • 《计算机信息网络国际联网安全保护管理办法》(公安部33号令)
  • 《互联网站管理工作细则》(信部电[2005]501号)
  • 《全国人大常委会关于维护互联网安全的决定》
  • 《互联网用户账号名称管理规定》
  • 《互联网文化管理暂行规定》(文化部令第27号)
  • 《全国人民代表大会常务委员会关于加强网络信息保护的决定》
  • 《GB/T 35273-2020 信息安全技术 个人信息安全规范》